広島のセキュリティもじみの宴会でも似たようなことを話題にしていたかもしれませんが、暗号化されたデータを持つファイルを検出する良い方法ってあるもんでしょうかね?
例えば、電子メールに添付されているファイルのうち、暗号化されたデータ部分を持つファイルなどを探し出したいとかいう場合に手軽に使えるツールとかないかなぁと考えています。
とはいえ、最近の暗号化製品には実行ファイル形式(ひらたくいえば拡張子がEXE)でファイルを暗号化し、通信相手がアプリケーションを持っていなくても復号できる仕組みもあります。
実行形式ファイルの添付されたファイルを探しだすには、拡張性が変更されている可能性もあるので、とりあえずシグネチャ分析などを実施することである程度絞り込めるかもしれませんが、発見されたファイルのうち暗号化したデータを持っていると推測されるファイルを探しだすには、やっぱひとつずつ実行なんすかねぇ〜orz
ランダムなパターンがファイルの何パーセントくらいあるなどで推測するとか、そいう手法で可能なのかよくわかりませんが、なんかいい方法ないのかなぁと。
暗号化された通信を検出するとかって何か方法あるのかなぁ、それと同じ手法がファイルに対しても使えれば便利なんですけどねぇ...
書籍の注文
まだ読めてない本が多数あるなか、とりあえず「ドラゴンランス 魂の戦争 第二部 喪われた星の竜」を読み終えたので、何か他の本を読みたい今日この頃。
手元に届いている本では、「CD and DVD Forensics」をパラパラめくっていたりするわけですが、そういえばブルーレイドライブとかもどうなるか試してみたかったりするなぁ。とりあえず予約した本は「Oracle Forensics: Oracle Security Best Practices (Oracle in-Focus Series)」だったりするわけですが、まだノーツ関連の本も読めてないしなぁ・・・
